내 문제는 클라이언트가 새로 부팅될 때 그룹 정책이 적용되지 않는다는 것입니다. 부팅 직후 클라이언트는 소스 "GroupPolicy(Microsoft-Windows-GroupPolicy)" 및 이벤트 ID 1058: "그룹 정책 처리에 실패했습니다. [...]"와 함께 이벤트 로그에 오류 메시지를 게시합니다. 세부 정보 탭에서 ErrorCode는 ERROR_NOT_SUPPORTED를 나타내는 50입니다. 이는 단순한 외관상의 문제가 아닙니다. 정책이 실제로 제대로 적용되지 않습니다. 예를 들어 매핑된 네트워크 드라이브가 없습니다. 잠시 기다린 후 "gpupdate"를 실행하면 정책이 정상적으로 적용됩니다. 매핑된 네트워크 드라이브가 나타납니다.
문제를 재현할 수 있는 가장 간단한 시나리오: 새로 설치된 Windows Server 2012R2에서 새로 생성된 도메인, 클라이언트는 새로 설치된 Windows 10 64비트 시스템입니다. 도메인은 하나의 도메인 컨트롤러로만 구성되며 다른 도메인과 어떠한 관계도 갖지 않습니다.
Windows가 도메인의 Sysvol 공유에서 .GPT 파일을 읽을 수 없다는 오류 메시지가 표시되므로 명령 프롬프트에서 동일한 파일에 액세스하려고 했습니다. 실제로 부팅 직후 명령 프롬프트를 열면 다음과 같은 메시지가 나타납니다.
C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.
1~2분 정도 기다린 후 동일한 명령을 실행하면 디렉터리 목록이 표시됩니다. 이 시점에서 gpupdate를 실행하면 문제 없이 작동합니다.
그룹 정책 설정 "컴퓨터 시작 및 로그온 시 항상 네트워크 대기"를 "사용"으로 설정했으며 이 정책이 적용된다는 것을 알고 있습니다. 동일한 정책 개체에 레지스트리 설정이 지정되어 있으며 레지스트리를 확인할 때 클라이언트에는 지정된 설정이 있습니다.
관련될 수 있는 기타 요소:
- NTLM은 도메인에서 제한되어 있지만 이는 중요하지 않은 것 같습니다. 이를 활성화하고 정책을 업데이트하고 모든 컴퓨터를 재부팅한 후에도 증상은 동일하게 유지됩니다.
- 서버가 DHCP를 사용하여 구성되었는지 아니면 정적 구성으로 구성되었는지는 중요하지 않습니다.
- 도메인의 DNS 서버는 동적 업데이트를 지원하지 않습니다. 필요한 레코드가 수동으로 추가되었습니다(C:\Windows\System32\config\netlogon.dns에서).
- 클라이언트에서 최대 절전 모드가 비활성화되어 있으므로( 사용
powercfg /h off) 각 부팅은 빠른 부팅이 아닌 전체 부팅입니다. - 정책 시작 정책 처리 대기 시간은 120초로 설정됩니다.
- DC 연결이 제대로 작동합니다. 핑이 작동합니다. 클라이언트를 끄고, AD에서 내 계정을 비활성화하고, 클라이언트를 켜면 클라이언트가 나에게 로그인하지 못하게 됩니다. 즉각적으로 계정이 비활성화되었음을 알립니다.
- 이 문제 외에는 특별한 점을 발견하지 못했습니다.
이는 그룹 정책 문제라기보다는 SMB 문제에 더 가까운 것 같습니다. 서버 측에서 연결을 스니핑하면 흥미로운 사실을 알 수 있습니다. 처음으로 명령을 수행하면 dir \\domain.example.com\sysvolDC의 Microsoft 메시지 분석기에 다음이 표시됩니다.
- 클라이언트는 DC의 포트 445에 대한 TCP 연결을 설정하고 ComNegotiation이 성공적으로 수행됩니다(DialectRevision: 0x02FF).
- 그 직후 Negotiate가 성공적으로 수행됩니다. DialectRevision은 0x0302입니다.
- 그 직후 클라이언트는 TCP RST(??)로 TCP 연결을 닫습니다.
다음 번에 명령을 실행하고 오류가 발생할 때마다 2단계와 3단계가 발생합니다.
명령이 작동하기 시작하면 1단계와 2단계가 발생하지만 클라이언트가 TCP RST를 보내는 대신 SessionSetup이 수행되고 TreeConnect가 수행된 다음 수많은 (정상적으로 보이는) SMB 채팅이 발생합니다.
따라서 부팅 후 1~2분 정도가 될 때까지 클라이언트가 SMB를 DC와 제대로 연결하지 못하는 것처럼 보이며 이로 인해 그룹 정책 처리가 실패하게 됩니다.
이 문제를 디버깅하고 해결하는 방법을 아는 사람이 있나요?
답변1
Windows 8부터 Microsoft는 OS를 종료할 때 일반적인 최대 절전 모드 시나리오에서 최대 절전 모드가 작동하는 것처럼 OS 메모리 공간을 최대 절전 모드로 전환하는 "빠른 부팅"이라는 개념을 도입했습니다. 이로 인해 OS가 더 빠르게 실행되지만 시작 시 컴퓨터별 GP 처리가 비활성화되는 부작용도 있습니다. 이는 아마도 여러분이 보고 있는 것일 것이며 컴퓨터 구성\정책\관리 템플릿\시스템\종료\빠른 시작 사용 요구에서 정책을 비활성화하여 비활성화할 수 있습니다.
그래도 문제가 해결되지 않으면 네트워크 스택 타이밍 문제일 가능성이 높습니다. 즉, 네트워크 스택이 완전히 초기화되기 전에 컴퓨터에 대한 GP 처리가 시작됩니다. 이는 XP 이후부터 있었고 Windows 7부터 Microsoft는 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책\시작 정책 처리 대기 시간 아래에 GP가 시작하기 전에 기다리는 시간을 늘릴 수 있는 정책을 추가했습니다. 60초로 설정해 보고 도움이 되는지 확인해 보세요.
대런
답변2
나는이 문제를 직접 해결했습니다. 을 위한참조내 문제를 해결한 방법은 다음과 같습니다.
첫째, NTLM의 모든 차단을 비활성화하면 동일한 증상이 발생한다는 점에서 제가 틀렸습니다. 그 결과다른같은 증상이 나타났습니다. NTLM 차단 정책이 적용되지 않으면 dir이제 명령으로 인해 액세스 거부 오류가 발생했습니다. 그룹 정책은 여전히 적용되지 않습니다. 이는 의미가 있습니다. SYSVOL에 여전히 액세스할 수 없습니다.
약간의 웹 검색을 통해 더 일반적인 문제가 있다는 것을 알게 되었습니다. 그렇지만. 분명히 Windows 10 클라이언트는 도메인 컨트롤러의 SYSVOL 공유(및 NETLOGON 공유)에 액세스하는 데 문제가 있을 수 있습니다. 아마도 Windows 10에서는 해당 공유에 액세스하는 방식이 변경되어 문제가 발생할 수 있습니다. 해결 방법은 Windows 10 클라이언트에 대해 "Hardened UNC Paths" 그룹 정책을 다음과 같이 설정하여 이러한 공유에 대해 클라이언트에서 UNC 경로 강화를 비활성화하는 것입니다.
\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1
(Windows 10 클라이언트에서 Netlogon 공유에 액세스하는 데 문제가 있는 경우 해당 공유에 대해 세 가지 매개 변수를 모두 0으로 설정하는 데 도움이 될 수도 있습니다.)
참조MS15-011에 대한 Microsoft의 기사자세한 내용은. 여기에는 이 설정 변경이 보안에 미치는 영향에 대한 좋은 설명과 정책 변경 방법에 대한 자세한 단계가 포함되어 있습니다.
경고: 위의 설정에 유의하세요.장애를 입히다보안 문제 MS15-011에 대한 일부 또는 전체 보호 기능이 만들어졌습니다!하지 마라맹목적으로 복사/붙여넣기만 하세요. 하지만 관련된 위험을 기반으로 정보를 바탕으로 결정을 내리세요. 또한, 이 문제는 향후 언젠가 해결될 가능성이 높습니다. 그런 경우 MS15-011에 설명된 대로 이 정책을 권장 값으로 설정하는 것을 잊지 마세요.
답변3
이 스레드를 찾는 다른 분들을 위해 참고로, 상호 인증을 0으로 설정하여 UNC 강화를 끄면 일부 보안이 비활성화됩니다. 우리는 win7 클라이언트에서 동일한 문제를 겪고 있으며 이에 대해 Microsoft와 협력하려고 했습니다. 그들은 그것이 버그라고 말했지만 지금까지 버그가 언제 해결될지 추적할 수 있는 방법을 제공하지 않았습니다.
자세한 내용은 이 다른 스레드를 참조하세요. https://social.technet.microsoft.com/Forums/en-US/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpos-do-not-apply-on-windows-10-enterprise-x64
답변4
레지스트리 변경 및 로컬 그룹 정책 변경을 포함한 몇 가지 제안을 시도했지만 문제가 해결되지 않았습니다. 부팅 시 매핑된 드라이브가 여전히 X로 표시되었습니다. gpupdate는 매번 문제를 해결하지만 이는 사용자에게 추가 단계였습니다.
결국 문제를 해결한 것은 네트워크 드라이브를 수동으로 매핑하여 각 드라이브의 GPO 항목을 바꾸는 것이었습니다. 연결을 끊거나 교체할 필요가 없으며 매핑된 것과 동일하게 수동으로 매핑했습니다.